Раскрыты подробности о деятельности хакерской группировки Turla

image

Теги: Turla, Metasploit

Хакерская группировка Turla использовала Metasploit в рамках вредоносной кампании Mosquito.

Хакерская группировка Turla, предположительно связанная с российским правительством, продолжает заниматься кибершпионажем, добавляя новые инструменты в свой арсенал. В январе текущего года группировка распространяла бэкдор под видом обновления Adobe Flash, однако начиная с марта 2018 года эксперты ESET зафиксировали значительные изменения в кампании. Теперь хакеры используют популярный фреймворк с открытым исходным кодом Metasploit для распространения бэкдора Mosquito.

По словам специалистов, Turla впервые использовала Metasploit в качестве вредоносного ПО первого этапа, вместо того, чтобы и далее полагаться на собственные инструменты.

В ходе вредоносной кампании Mosquito по-прежнему используется фальшивый установщик Adobe Flash, содержащий бэкдор Turla. При загрузке установщика Flash с сайта get.adobe.com по HTTP, атакующие перехватывают трафик и подменяют легитимный установщик на вредоносную версию.

«В последнее время мы наблюдали изменения в способе доставки бэкдора. Кампания Turla по-прежнему полагается на фальшивый установщик Flash, однако вместо того, чтобы напрямую загрузить две вредоносные DLL-библиотеки, он выполняет командный код Metasploit и загружает из Google Диска легитимный установщик Flash. Затем загружается Meterpreter, который является типичной полезной нагрузкой Metasploit, позволяющей злоумышленнику управлять уязвимым устройством. Наконец, на устройство загружается бэкдор Mosquito», - следует из отчета ESET.

Атакующие контролируют процесс эксплуатации вручную с использованием инфраструктуры Metasploit. Сама атака длится сравнительно короткое время - злоумышленники могут доставить Mosquito всего за тридцать минут.

В дополнение к новым фальшивым установщикам Flash и Meterpreter хакеры использовали ряд других инструментов, в том числе исполняемый файл, содержащий shell-код Metasploit; исполняемый файл, используемый для выполнения сценариев PowerShell; бэкдор Mosquito, который использует Google Apps Script в качестве C&C-сервера; модуль Metasploit ext_server_priv.x86.dll, позволяющий добиться повышения привилегий.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.